返回
李凤华--计算机安全与保密技术--第六章

李凤华--计算机安全与保密技术--第六章

ID:20274511

大小:1.50 MB

页数:46页

时间:2018-10-10

李凤华--计算机安全与保密技术--第六章_第1页
李凤华--计算机安全与保密技术--第六章_第2页
李凤华--计算机安全与保密技术--第六章_第3页
李凤华--计算机安全与保密技术--第六章_第4页
李凤华--计算机安全与保密技术--第六章_第5页
资源描述:

《李凤华--计算机安全与保密技术--第六章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络安全第六讲PKI与认证本讲内容6.1问题:身份认证6.2国内电子政务发展概况6.3电子政务对密码应用的需求6.4PKI与认证6.1问题:身份认证在一个开放的分布式网络环境中,用户通过工作站访问服务器上提供的服务。服务器应能够限制非授权用户的访问并能够认证对服务的请求。工作站不能够被网络服务所信任其能够正确地认定用户,即工作站存在三种威胁。一个工作站上一个用户可能冒充另一个用户操作;一个用户可能改变一个工作站的网络地址,从而冒充另一台工作站工作;一个用户可能窃听他人的信息交换,并用回放攻击获得对一个服

2、务器的访问权或中断服务器的运行。信息系统资源保护的动机单用户单机系统。用户资源和文件受到物理上的安全保护;多用户分时系统。操作系统提供基于用户标识的访问控制策略,并用logon过程来标识用户。Client/Server网络结构。由一组工作站和一组分布式或中心式服务器组成。三种可能的安全方案相信每一个单独的客户工作站可以保证对其用户的识别,并依赖于每一个服务器强制实施一个基于用户标识的安全策略。要求客户端系统将它们自己向服务器作身份认证,但相信客户端系统负责对其用户的识别。要求每一个用户对每一个服务证明其

3、标识身份,同样要求服务器向客户端证明其标识身份。6.2国内电子政务发展概况6.2.1电子政务的目的为公民快捷方便服务,是政府一切工作的中心,也是政府一切工作的目的信息化带动工业化,政府应先行6.2.2电子政务的内涵打破行政机关的组织界限,实现资源共享构建电子化虚拟机关,可以从不同渠道获取政府的信息与服务转变政府职能,从管理型向管理服务型转化6.2.3电子政务发展历程1998年政府上网工程开始实施,“三金工程”等行业信息化工程开始建设1999年政府网站开通:gov.cn2000年在南海、绵阳、上海等建设一

4、批示范工程2002年“国家信息化领导小组关于我国电子政务建设指导意见”(中办发[2002]17号)文件,明确了相关原则、任务、措施等6.2.4电子政务的现状网络建设各自为政:重复建设,结构欠妥,规格不一信息资源开发利用滞后:互联互通不畅,资源共享不多应用和服务领域窄:尚未取代人工管理标准不统一,安全存在隐患6.2.5电子政务网络架构G2G:政务内网与政务外网物理隔离G2P:政务外网与因特网逻辑隔离6.2.6政务内网功能公文流转:模式不一信息交换:格式不一决策支持:功能不同电子邮件:界面类似于民用,但安全

5、全新设计,功能差异大多媒体应用:视频点播、视频会议6.3电子政务对密码应用的需求公钥基础设施PKI(PublicKeyInfrastructure)身份认证授权基础设施PMI(PrivilegeManagementInfrastructure)访问控制密码应用服务平台CSP(CryptographicServiceProvider)目标互联互通:标准接口、统一协议与密码算法定制用户业务硬件加密服务嚣PCI卡、USB装置、PCMCIA卡、USBKey/智能卡软件专用API、规范CSP、中间件专用密码服务协

6、议接口(认证、加解密、密钥分发等)密码算法加解密签名/签名验证摘要密钥管理密钥产生密钥分发密钥更新密钥存储密码装置监控访问控制与审计时间控制6.4PKI(PublicKeyInfrastructure)6.4.1回顾:公钥技术公钥技术建立在非对称密码算法基础上公钥和私钥对服务:保密性和认证6.4.2回顾:数字签名两种数字签名方案6.4.3密钥对的用法用于加密的密钥对用公钥加密用私钥解密用私钥签名用公钥验证用于签名的密钥对6.4.4PKI之动机公钥技术如何提供数字签名功能如何实现不可否认服务公钥和身份如何

7、建立联系为什么要相信这是某个人的公钥公钥如何管理方案:引入证书(certificate)通过证书把公钥和身份关联起来6.4.5密钥生命周期密钥产生证书签发Bob密钥使用Bob证书检验密钥过期密钥更新6.4.6PKI(PublicKeyInfrastructure)定义:用公钥原理和技术实施和提供安全服务,具有通用性的安全基础设施一个完整的PKI应该包括:认证机构(CA)证书库证书注销密钥备份和恢复自动更新密钥密钥历史档案交叉认证支持不可否认时间戳客户端软件1.PKI提供的基本服务认证采用数字签名技术,签

8、名作用于相应的数据之上被认证的数据——数据源认证服务用户发送的远程请求——身份认证服务远程设备生成的challenge信息——身份认证完整性PKI采用了两种技术数字签名:既可以是实体认证,也可以是数据完整性MAC(消息认证码):如DES-CBC-MAC或者HMAC-MD5保密性用公钥分发会话密钥,然后用会话密钥对数据加密不可否认发送方的不可否认——数字签名接受方的不可否认——收条+数字签名2.PKI的应用考虑在提供前面四项服务的同时,还必须

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。